Приложение N 1. Правила обработки персональных данных в агентстве по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Красноярского края. Приказ агентства по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Красноярского края от 11.08.2021 N 180П "Об обработке и защите персональных данных в агентстве по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Красноярского края" (с изменениями и дополнениями)

Приложение N 1

к приказу агентства по гражданской

обороне, чрезвычайным ситуациям

и пожарной безопасности

Красноярского края

от 11 августа 2021 N 180п

Правила
обработки персональных данных в агентстве по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Красноярского края

1.Общие положения

1.1. Правила обработки персональных данных в агентстве по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Красноярского края (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, обрабатываемых в агентстве по гражданской обороне, чрезвычайным ситуациям и пожарной безопасности Красноярского края (далее - агентство), с использованием средств автоматизации или без использования таких средств, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", иными нормативными правовыми актами.

1.3. Понятия и термины, используемые в Правилах, применяются в том же значении, что и в Федеральном законе N 152-ФЗ.

1.4. Правила определяют политику агентства как оператора, осуществляющего обработку персональных данных и определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.5. Агентством могут осуществляться следующие действия с персональными данными при их обработке:

сбор;

запись;

систематизация;

накопление;

хранение;

уточнение (обновление, изменение);

использование;

извлечение;

передача (распространение, предоставление, доступ);

обезличивание;

блокирование;

удаление;

уничтожение.

1.6. До начала обработки персональных данных агентство обязано уведомить уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных согласно статье 22 Федерального закона N 152-ФЗ.

1.7. Перечень информационных систем персональных данных агентства, угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных агентства, мер обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных агентства устанавливается приказом агентства.

1.8. Обработка персональных данных в агентстве осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных.

2. Цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются в агентстве

2.1. В агентстве персональные данные могут обрабатываться в целях:

2.1.1. Оформления приема, организации учета, перевода и увольнения государственных гражданских служащих Красноярского края в агентстве в соответствии с законодательством Российской Федерации, ведения всей отчетности по кадровым вопросам, расчета заработной платы и совершения иных действий в рамках реализации служебных отношений;

2.1.2. Формирования кадрового резерва государственной гражданской службы;

2.1.3. Ведения воинского учета и бронирования граждан Российской Федерации, пребывающих в запасе Вооруженных Сил Российской Федерации и работающих в агентстве;

2.1.4. Выполнения возложенных на агентство функций и полномочий.

2.2. Содержание обрабатываемых персональных данных:

2.2.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);

2.2.2. Число, месяц, год рождения;

2.2.3. Место рождения;

2.2.4. Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);

2.2.5. Реквизиты документа, удостоверяющего личность;

2.2.6. Адрес места регистрации, фактического проживания;

2.2.7. Номер контактного телефона или сведения о других способах связи;

2.2.8. Реквизиты страхового свидетельства государственного пенсионного страхования;

2.2.9. Идентификационный номер налогоплательщика;

2.2.10. Реквизиты страхового медицинского полиса обязательного медицинского страхования;

2.2.11. Реквизиты свидетельства государственной регистрации актов гражданского состояния;

2.2.12. Семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

2.2.13. Сведения о трудовой деятельности;

2.2.14. Сведения о воинском учете и реквизиты документов воинского учета;

2.2.15. Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность, направление подготовки по документу об образовании);

2.2.16. Сведения о своих доходах, имуществе и обязательствах имущественного характера, а также указанные сведения в отношении своих супруги (супруга) и несовершеннолетних детей;

2.2.17. Сведения о своих расходах, а также о расходах своих супруги (супруга) и несовершеннолетних детей по каждой сделке по приобретению земельного участка, другого объекта недвижимости, транспортного средства, ценных бумаг, акций (долей участия, паев в уставных (складочных) капиталах организаций);

2.2.18. Результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований);

2.2.19. Сведения об ученой степени, ученом звании;

2.2.20. Информация о владении иностранными языками, степень владения;

2.2.21. Сведения о судимости;

2.2.22. Фотография;

2.2.23. Информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;

2.2.24. Сведения о пребывании за границей;

2.2.25. Информация о классном чине государственной гражданской службы Красноярского края (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);

2.2.26. Информация об оформленных допусках к государственной тайне;

2.2.27. Сведения о награждении государственными наградами, иными наградами и знаками отличия;

2.2.28. Сведения о профессиональной переподготовке и (или) повышении квалификации;

2.2.29. Сведения, указанные в анкете, подлежащей предоставлению гражданином, поступающим на государственную гражданскую службу Красноярского края;

2.2.30. Сведения, указанные в автобиографии;

2.2.31. Информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

2.2.32. Номер расчетного счета;

2.2.33. Номер банковской карты;

2.2.34. Иные сведения, содержащие персональные данные, в соответствии с законодательством Российской Федерации.

2.3. Категории субъектов, персональные данные которых обрабатываются в агентстве:

2.3.1. Государственные гражданские служащие агентства;

2.3.2. Граждане, претендующие на замещение должностей государственной гражданской службы Красноярского края в агентстве либо включению в кадровый резерв агентства;

2.3.3. Граждане, состоящие в кадровом резерве агентства;

2.3.4. Иные субъекты, персональные данные которых обрабатываются в агентстве в силу гражданско-правовых или иных отношений.

2.4. В агентстве для каждой цели обработки персональных данных определяется содержание персональных данных:

2.4.1. Для целей обработки персональных данных, указанных в подпункте 2.1.1 пункта 2.1 Правил, определяются содержание персональных данных, перечисленное в пункте 2.2 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в агентстве, указанные в пункте 2.3 Правил;

2.4.2. Для цели обработки персональных данных, указанной в подпункте 2.1.2 пункта 2.1 Правил, определяются содержание персональных данных, перечисленное в подпунктах 2.2.1-2.2.22, 2.2.24-2.2.30 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в агентстве, указанные в пункте 2.3 Правил;

2.4.3. Для цели обработки персональных данных, указанной в подпункте 2.1.3 пункта 2.1 Правил, определяются содержание персональных данных, перечисленное в пункте 2.2 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в агентстве, указанные в пункте 2.3 Правил.

3. Сроки обработки и хранения персональных данных

3.1. Сроки обработки и хранения персональных данных определяются в соответствии с законодательством Российской Федерации.

3.2. Если сроки обработки и хранения персональных данных не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, письменным согласием субъекта персональных данных, то обработка и хранение персональных данных категорий субъектов, персональные данные которых обрабатываются в агентстве, перечисленных в пункте 2.3 Правил, осуществляются не дольше, чем этого требуют цели их обработки и хранения.

4. Порядок обработки персональных данных, порядок уничтожения персональных данных

4.1. Получение персональных данных может осуществляться как путем их предоставления оператору самим субъектом персональных данных, так и путем получения персональных данных оператором из иных источников, в том случае, если персональные данные представляется возможным получить только у третьей стороны. Если персональные данные получены не от субъекта персональных данных и такое получение не предусмотрено частью 4 статьи 18 Федерального закона N 152-ФЗ, то до начала обработки таких персональных данных оператор обязан предоставить субъекту персональных данных информацию, предусмотренную частью 3 статьи 18 Федерального закона N 152-ФЗ.

4.2. Агентство не имеет права получать и обрабатывать персональные данные субъекта, не связанные с целями обработки персональных данных. В случаях, непосредственно связанных с вопросами служебных отношений, данные о частной жизни субъекта персональных данных (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны оператором только с письменного согласия субъекта персональных данных.

4.3. Для осуществления процесса обработки персональных данных на автоматизированных рабочих местах (далее - АРМ) используется сертифицированное программное обеспечение.

4.4. Пользователи информационных систем персональных данных осуществляют обработку в многопользовательском режиме, имеют различные права доступа к информации. Существует одноточечное соединение с сетью Интернет.

Пользователи имеют право постоянного хранения файлов с защищаемыми данными на жестком магнитном диске, входящем в состав технических средств. Специально выделенный каталог для хранения персональных данных отсутствует. Для хранения файлов, содержащих персональные данные, съемные носители информации не используются. Учет съемных носителей не ведется.

4.5. Доступ в информационные системы персональных данных осуществляется пользователями с использованием персональных идентификаторов и паролей.

Передача информации, содержащей персональные данные, за пределы контролируемой зоны по сети Интернет не осуществляется. Права доступа пользователей к программам, каталогам и файлам на АРМ регламентированы настройками локальных политик безопасности Windows.

4.6. Хранение персональных данных:

После достижения цели обработки персональных данных, если это предусмотрено законодательством Российской Федерации или в письменном согласии субъекта персональных данных, персональные данные помещаются в архив и хранятся в течение срока, установленного законодательством Российской Федерации. На хранение персональных данных в электронном архиве должно быть получено согласие субъекта персональных данных.

Если в течение срока архивного хранения субъект персональных данных направил в адрес агентства заявление об отзыве согласия на обработку персональных данных, агентство обязано уничтожить персональные данные субъекта с составлением соответствующего акта или обеспечить их уничтожение, если сохранение персональных данных более не требуется для целей обработки персональных данных, если иное не предусмотрено законодательством Российской Федерации.

4.7. Передача персональных данных.

Передача персональных данных субъекта любым физическим или юридическим лицам может быть осуществлена только с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

4.8. Уничтожение персональных данных.

4.8.1. Уничтожение персональных данных осуществляется:

по истечении соответствующего срока хранения;

в случае утраты необходимости в достижении целей обработки персональных данных, если иное не предусмотрено федеральным законом;

как результат рассмотрения требования субъекта персональных данных в соответствии со статьей 20 Федерального закона N 152-ФЗ.

4.8.2. В случае отсутствия установленных сроков хранения персональных данных, уничтожение персональных данных осуществляется по достижении целей обработки, при наступлении иных законных оснований или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

Для уничтожения персональных данных приказом агентства создается комиссия, рассматривающая вопросы уничтожения персональных данных (далее - комиссия).

По итогам заседания комиссии составляются протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность.

4.8.3. Носители, содержащие персональные данные, уничтожаются таким способом, что после процедуры уничтожения не представилось возможным восстановить данные (сожжение, дробление (измельчение), химическое разложение, другие способы). Для уничтожения бумажных документов допускается применение шредера.

Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

По результатам уничтожения составляется акт об уничтожении персональных данных, который подписывается комиссией.

5. Мероприятия по обеспечению безопасности персональных данных

5.1. Мероприятия по обеспечению безопасности персональных данных являются составной частью деятельности агентства.

5.2. Перечень должностей государственной гражданской службы Красноярского края, замещение которых в агентстве предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, а также порядок доступа государственных гражданских служащих агентства в помещения, в которых ведется обработка персональных данных, определяется правовыми актами агентства.

5.3. Сбой в функционировании элементов информационных систем персональных данных, предоставляемых пользователям информационных систем персональных данных, а также потеря защищаемой информации, связанные с нарушением правил обработки персональных данных, могут произойти в результате следующих действий (бездействия):

непреднамеренных либо преднамеренных действий государственных гражданских служащих агентства и третьих лиц;

в результате возникновения обстоятельств непреодолимой силы.

5.4. По каждому происшествию проводится проверка, для проведения которой приказом агентства создается комиссия. Порядок проведения проверки устанавливается правилами осуществления внутреннего контроля соответствия обработки персональных данных в агентстве требованиям к защите персональных данных, установленных законодательством в сфере защиты персональных данных. В ходе проверки устанавливаются обстоятельства, виновные лица в совершении нарушений мероприятий по защите информации, причины и условия, способствовавшие нарушению.

По результатам проведенной проверки определяются обстоятельства, способствовавшие совершению выявленных нарушений, а также необходимые мероприятия по их устранению.

5.5. Процедуры, направленные на выявление нарушений мероприятий по защите информации:

осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, требованиям к защите персональных данных, политике агентства в отношении обработки персональных данных, правовым актам агентства;

иные процедуры, направленные на выявление нарушений.

5.6. Процедуры, направленные на предотвращение нарушений мероприятий по защите информации:

назначение лица, ответственного за организацию обработки персональных данных в агентстве, обучение и инструктаж, внутренний контроль за соблюдением государственными гражданскими служащими агентства требований к защите персональных данных;

ознакомление государственных гражданских служащих агентства, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных и иными документами по вопросам обработки персональных данных;

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных агентства;

применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных агентства, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

разграничение прав доступа к персональным данным при их обработке в информационных системах персональных данных агентства.

5.7. Персональные данные не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает государственного гражданского служащего агентства от взятых им обязательств по неразглашению сведений ограниченного распространения.

5.8. При обработке в агентстве персональных данных на бумажных носителях, в частности при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 N 687.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

5.9. Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).

5.10. Лица, виновные в нарушении требований Правил, несут ответственность в соответствии с действующим законодательством Российской Федерации.

Руководитель

Е.И.Мусс